Ny Karakurt-hotskådespelare fokuserar på utpressning, inte ransomware
Forskare med säkerhetsföretaget Accenture publicerade en rapport om ett nytt stort namn i hotaktörslandskapet. Den nya enheten heter Karakurt och har enligt forskare lyckats få fler än 40 offer på bara några månader 2021.
Karakurt är en portmanteau av de turkiska orden för "svart" och "varg" och påträffas också som ett turkiskt efternamn. Det är också ett annat namn för den europeiska svarta änkaspindeln. Det bör noteras att detta inte är ett namn som getts till outfiten av säkerhetsforskare utan ett namn som gruppen valt för sig själv.
Hotskådespelare går för utpressning på grund av ransomware
Karakurt kom upp som en röd blipp på forskarradar i mitten av 2021 men har ökat markant i aktivitet under de senaste månaderna. Accenture beskriver hotaktören som "finansiellt motiverad, opportunistisk" och till synes riktar sig mot mindre enheter och håller sig borta från "big game". Inte så svårt att föreställa sig varför det är, efter det som hände med Darkside-gruppen efter att ett av deras medlemsförbund inledde en förlamande attack mot Colonial Pipeline i USA och gav otroliga motreaktioner på Darkside, vilket ledde till den uppenbara stängningen av hotaktören.
I likhet med de flesta ransomware-aktörer har Karakurt i första hand riktat sig mot företag och enheter på amerikansk mark, med bara 5 % av de totala attackerna efter mål i Europa. Däremot slutar likheterna med de flesta ransomware i driftsättet här. Karakurt är inte ett ransomware-gäng.
Istället fokuserade den nya hotaktören på ett snabbare tillvägagångssätt – att gå in och ut snabbt, exfiltrera så mycket känslig data som möjligt och sedan pressa ut pengar för den stulna informationen.
Accenture tror också att detta tillvägagångssätt kommer att bli allt mer populärt bland hotaktörer i framtiden och förväntar sig en liten övergång från ransomware till en ren "exfiltrera och utpressa"-metod, kombinerat med en förskjutning mot mål som inte kommer att orsaka samhälleliga eller infrastrukturella störningar när träffa.
Karakurts metoder och verktyg
Karakurt använder verktyg och applikationer som redan är installerade på offernätverk för infiltration. Den vanliga metoden för infiltration i gruppens attacker hittills har varit att använda legitima VPN-inloggningsuppgifter. Hur dessa har erhållits är dock inte klart.
Från och med denna tidpunkt målar Accenture upp en bild av Karakurts handlingar som är alltför välbekant vid det här laget - Cobalt Strike-fyrar för kommando- och kontrollkommunikation. Sidorörelse över nätverk uppnås med hjälp av alla tillgängliga verktyg, från PowerShell till skadliga applikationer från tredje part. Hackeroutfiten använder populära komprimeringsverktyg för att packa stulna data innan de skickas till mega dot io för lagring.